Help & probleemoplossing
CAA-record
Wat dit is
CAA-records geven een witte lijst van welke certificaatautoriteiten TLS-certificaten voor het domein mogen uitgeven. CAs zijn verplicht CAA te controleren vóór uitgifte; een CA die niet op de lijst staat, moet weigeren.
Hoe je je resultaat leest
Geen CAA-record betekent dat elke CA mag uitgeven (de standaard van vóór CAA — gebruikelijk en aanvaardbaar). Als er records bestaan, zorg er dan voor dat elke CA die je daadwerkelijk gebruikt vermeld staat, inclusief die welke indirect door je CDN of hostingplatform worden gebruikt.
Veelvoorkomende problemen en hoe je ze oplost
CAA blokkeert de CA die je automatisering gebruikt
Hoe het zich uit: Certificaatvernieuwing mislukt plotseling — Let's Encrypt of je CDN meldt een CAA-fout — en de site toont een waarschuwing over een verlopen certificaat zodra het oude verloopt.
Hoe je het oplost: Voeg een issue-item toe voor de CA, bijv. 0 issue "letsencrypt.org", naast bestaande items. Onthoud dat platformen als Cloudflare of Netlify uitgeven via hun eigen CA-partners — raadpleeg hun documentatie voor welke CAA-items zij nodig hebben.
CAA op de bovenliggende van een subdomein spreekt tegen wat het subdomein nodig heeft
Hoe het zich uit: Certificaten worden prima uitgegeven voor de hoofdsite maar mislukken voor een subdomein dat op een ander platform wordt gehost.
Hoe je het oplost: CAA wordt geërfd van de dichtstbijzijnde voorouder die er een heeft. Breid ofwel de CAA van de bovenliggende uit om de CA van het subdomein op te nemen, of stel een specifiek CAA-record in op het subdomein zelf, wat de bovenliggende voor die naam overschrijft.